Symposium sur la sécurité des technologies de l'information et des communications

Conférence francophone sur le thème de la sécurité de l'information.
Elle a eu lieu à Rennes du 1 au 3 juin 2022.

ADeleg, un outil de gestion des permissions d’un Active DirectoryAurélien Bordes, Matthieu Buffet


Date : 01 June 2022 à 14:30 — 15 min.

Le contrôle d’accès de l’Active Directory repose sur le même modèle de sécurité que Windows. Chaque objet de l’annuaire possède nécessairement un descripteur de sécurité, contenant un propriétaire et une liste (DACL) de règles (ACE) qui autorisent ou interdisent des principals à effectuer un ensemble donné d’actions sur cet objet.

La gestion des permissions d’un Active Directory est devenue au fil des années de plus en plus importante. En effet, certains modèles d’administration (par exemple celui basé sur les Tiers) nécessitent de mettre en place des délégations d’administration qui, concrètement, consistent à autoriser des principals à réaliser des actions sur une partie de l’annuaire, tout en garantissant qu’ils ne peuvent abuser de ces droits pour réaliser d’autres actions. Aussi, plusieurs outils sont apparus ces dernières années permettant de calculer, via des autorisations trop permissives ou mal positionnées, des chemins de contrôle dans le but d’élever ses privilèges.

Si l’importance des permissions est devenue critique, aucun outil fourni par Microsoft n’est venu aider les administrateurs à gérer correctement les permissions et plus généralement les délégations d’administration. Le seul outil disponible reste l’assistant graphique de la console d’administration des utilisateurs et ordinateurs (dsa.msc, venue avec la toute première version d’Active Directory sous Windows Server 2000) permettant de déléguer une liste prédéfinie de quelques actions d’administration (réinitialisation des mots de passe, gestion des membres de groupes, etc.) au niveau d’un objet donné. Une fois cette délégation effectuée, tout repose sur la bonne documentation des changements par les différents administrateurs (souvent lacunaire), car aucune console intégrée ou outil ne permet de savoir quels objets sont ciblés par des délégations, quels utilisateurs disposent de délégations, ni de quelles délégations dispose un utilisateur donné.

ADeleg est venu suite à ces constats et permet deux grands types d’actions :

  • Auditer différents points liés aux permissions dans une partition d’un Active Directory :
    • Audit de l’ordre des permissions
    • Audit de l’héritage des permissions
    • Audit des permissions par défaut du schéma
    • Audit des ACE explicites
  • Mettre en place des délégations d’administration via le positionnement d’ACE depuis un modèle décrit par des fichiers de configuration, et identifier les changements de ces délégations dans le temps